Ingen kommentar
MediaCreeper

Information

This article was written on 06 okt 2014, and is filled under Integritet, Noterat.

Current post is tagged

, , , ,

Ello läcker din info.

logo för ElloFör att vara ett socialt nätverk som profilerat sig som integritetssäkrande är Ello inte riktigt byggt för att hantera det. Tidigare har det skrivits om problemen med de affärsmässiga och medlemsskyddande uppläggen och denna gång är det själva kodningen, för deras API besvarar frågor det inte borde göra.

Ett exempel som dök upp via @Adland är att man enkelt kan bekräfta om någon är registrerad på siten förutsatt att du känner till personens mailadress.

Hur?

Ello-API:t svarar helt enkelt på frågor som det inte borde. I det här fallet är det om en specifik mailadress är registrerad.

Kopiera länken nedan, klistra in i adressfältet och lägg till din mailadress för att se om den är registerad på Ello eller inte:

https://ello.co/api/v1/availability/email?value=

Frågan som ställs är om den bifogade mailadressen är ledig i systemet och svaret som fås är att mailadressen är tillgänglig eller inte, d.v.s. om det finns ett konto är ”available” satt till ”false”.

Som exempelv är test @ ingenkommentar . se inte registrerad på siten och därför fås svaret ”available:true”.

Varför är detta ett problem?

Med den något uttjatade pusselmetaforen så: varje bit av data hjälper till att bygga en helhet.

Visst, att veta att nån har ett användarkonto är inte samma som att veta vilket konto det är, framför allt om det är ett community med ett antal miljoner användare, men genom att veta att personen finns går det att använda andra metoder för att ta reda på användarnamnet. Plus att du ju har en begränsad pool av användare att testa (genom att nischa för community, språk, aktivast tid över dygnet m.m.).

Så dagens Ello-tips är att registrera dig med en nyskapad mailadress om du vill hålla dig någorlunda anonym.

[Uppdatering 6/10-14, 12:50]
Som säkerhetsexperten @mlowdi påpekar är detta i samma kategori av API-missar som Researchgruppen använde sig av nät de avslöjade rasistiska kommentatorer med hjälp av Disqus.

One Comment

  1. […] Hursomhavet: ett mycket trevligt drag som visar att de faktiskt verkar försöka göra rätt (även om API:t fortfarande svarar på frågor det inte borde göra). […]